[go: up one dir, main page]

JP2008028720A - 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法 - Google Patents

送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法 Download PDF

Info

Publication number
JP2008028720A
JP2008028720A JP2006199429A JP2006199429A JP2008028720A JP 2008028720 A JP2008028720 A JP 2008028720A JP 2006199429 A JP2006199429 A JP 2006199429A JP 2006199429 A JP2006199429 A JP 2006199429A JP 2008028720 A JP2008028720 A JP 2008028720A
Authority
JP
Japan
Prior art keywords
address
packet
source
network device
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006199429A
Other languages
English (en)
Inventor
Masaro Suzuki
政朗 鈴木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2006199429A priority Critical patent/JP2008028720A/ja
Publication of JP2008028720A publication Critical patent/JP2008028720A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】
IPネットワーク機器の効率的な転送機能を確保しつつ、送信元を詐称した可能性のあるIPパケットに対して柔軟な制御を可能とするネットワークセキュリティ技術を提供する。
【解決手段】
IPネットワーク装置間でルーティング情報を交換するためのメッセージに新たな付加情報を追加し、そこに配下の端末の認証したIPアドレスとそのIPアドレスが詐称された場合の処理を記述して隣接するIPネットワーク装置に送出する。受け取った側では、ネットワークアドレスとインタフェースに加え、認証されたIPアドレスおよび詐称時の処理を保持する。IPパケットを受信した場合は、送信元IPアドレスを抽出して、保持するインタフェースと認証されたIPアドレスとの組と照合し、正当性を判別する。詐称疑惑がある場合は、そのIPアドレスに対応づけて保持されている詐称時処理を行う。
【選択図】 図1

Description

本発明は、ネットワークセキュリティの技術に関する。特に、送信元IP(Internet Protocol)アドレスを詐称したトラヒックによる、ネットワークリソース及びネットワーク機器へのDoS(Denial of Service Attack;サービス妨害)攻撃およびDDoS(Distributed Dos;分散サービス妨害)攻撃を防御する技術に関する。
インターネット上で行われているような通信プロトコルTCP/IPを利用した通信は、IPパケットの送受信により行われる。IPパケットには、宛先IPアドレス情報と送信元IPアドレス情報とが格納され、インターネット等のネットワークでIPパケットの中継を行うルータ等のIPネットワーク機器は、宛先IPアドレス情報を元に、IPパケットの転送を実施している。
一般に、ルータ等のIPネットワーク機器は、IPパケットの送信元IPアドレスの正当性を確認することなく、IPパケットの転送を実施している。インターネットに接続している悪意あるユーザがDoS攻撃やDDoS攻撃を行う際には、このようなインターネットにおけるIPパケットの転送特性を悪用して送信元IPアドレスを詐称することが多い。
近年、送信元IPアドレスを詐称したトラヒック(送信元IPアドレス詐称トラヒック)の制御技術として、uRPF(Unicast Reverse Path Forwarding)が注目されている。これは、イングレスフィルタリング(Ingress Filtering)と呼ばれる経路情報を利用したルータ等の入力インタフェースにおけるフィルタリング処理により、送信元IPアドレス詐称トラヒックの遮断を実現する。
uRPFでは複数の方式が提案されている。たとえば、以下の1)〜5)などである。1)Ingress Access List、2)Loose Reverse Path Forwarding、3)Loose Reverse Path Forwarding、ignoring Default Routes、4)Strict Reverse Path Forwarding、5)Feasible Reverse Path Forwarding(例えば、特許文献1、非特許文献1、非特許文献2参照。)。
特開2005−229614 IETF RFC3704 IETF RFC2267
上述のように、uRPFによるイングレスフィルタリングは、ルータ等のIPネットワーク機器が保持している経路情報(ルーティングテーブル又はフォワーディングテーブル)を利用する。受信したIPパケットが正式な加入者から送出されたIPパケットであるか送信元のIPアドレスを詐称したIPパケットであるかの判断は、受信したIPパケットの送信元IPアドレスが保持している経路情報に登録されているか否かで行う。例えば、経路情報に192.168.0/24と192.168.1/24の2つのみを保持している場合、受信したIPパケットの送信元IPアドレスが192.168.0.1や192.168.1.100であれば正式な加入者から送出されたIPパケットであると判断し、受信したIPパケットの送信元IPアドレスが192.168.3.1や172.18.1.1であれば送信元IPアドレス詐称トラヒックと判断し、廃棄する。
ところで、一般にIPネットワーク機器は、経路情報として保持していない宛先IPアドレスを有するIPパケットを受信した場合、そのIPパケットを廃棄する。ところが、インターネット上では、転送する可能性のある経路は無数にあり、全てを経路情報として保持することは不可能である。このため、IPネットワーク機器は、全ての経路情報を網羅する特殊経路であるデフォルト・ルート(0.0.0.0/0で表現される。)を経路情報として保持することが多い。しかし、この場合、イングレスフィルタリングでは、全ての送信元IPアドレスが登録されている経路情報に合致するため、全てのIPパケットが正式な加入者から送出されたIPパケットと判断され、送信元IPアドレス詐称トラヒックを適切に遮断することができない。
また、上記のuRPFによるイングレスフィルタリングでは、受信したIPパケットの送信元IPアドレスがルータ等のIPネットワーク機器の経路情報に登録されていない場合は、無条件にIPネットワーク機器内で廃棄する制御しかなく、柔軟な対応ができない。
本発明は上記事情に鑑みてなされたもので、IPネットワーク機器の効率的な転送機能を確保しつつ、送信元を詐称した可能性のあるIPパケットに対して柔軟な制御を可能とするネットワークセキュリティ技術を提供することを目的とする。
IPネットワーク装置間でルーティング情報を交換するためのメッセージに新たな付加情報を追加し、そこに配下の端末の認証したIPアドレス(認証IPアドレス)とそのIPアドレスが詐称された場合の処理(詐称時処理)とを記述して隣接するIPネットワーク装置に送出する。受け取った側では、ネットワークアドレスとインタフェースに加え、認証IPアドレスおよび詐称時処理を保持する。IPパケットを受信した場合は、送信元IPアドレスを抽出して、保持するインタフェースと認証されたIPアドレスとの組と照合し、正当性を判別する。正当と判別できない場合は、そのIPアドレスに対応づけて保持されている詐称時処理を行う。
具体的には、複数の端末を伝送路を介して収容し、予め保持するルーティング情報に従って、受信したIPパケットを転送するIPネットワーク装置であって、隣接する他のIPネットワーク装置毎に設けられ、隣接する他のIPネットワーク装置からIPパケットをそれぞれ受信するインタフェースと、前記インタフェースで受信したIPパケットの送信元IPアドレスを抽出するIPアドレス抽出手段と、前記隣接する他のIPネットワーク装置が収容する端末のIPアドレスと、当該他のIPネットワーク装置からのIPパケットを受信する前記インタフェースを特定する情報と、当該IPアドレスが送信元IPアドレスとして詐称された場合の処理である詐称時処理とを対応づけて保持する認証情報記憶手段と、前記IPパケットを受信したインタフェースと、前記IPアドレス抽出手段が抽出した当該IPパケットの送信元IPアドレスとが前記認証情報記憶手段に対応づけて保持されている場合、正当なIPパケットと判別する送信元IPアドレス詐称監視処理手段と、前記送信元IPアドレス詐称監視処理手段において正当なIPパケットと判別された場合、ルーティング処理を行い、正当なIPパケットと判別されなかった場合、前記IPアドレス抽出手段が抽出した送信元IPアドレスに対応づけて前記認証情報記憶手段に保持される前記詐称時処理を行うルーティング処理手段と、を備えることを特徴とするIPネットワーク装置を提供する。
本発明によれば、IPネットワーク機器の効率的な転送機能を確保しつつ、送信元を詐称した可能性のあるIPパケットに対して柔軟な制御を可能とするネットワークセキュリティ技術を提供できる。
以下に、本発明を適用した実施の形態を説明する。
図1は、本実施形態のIPネットワークシステムのシステム構成図である。本図に示すように、本実施形態のIPネットワークシステムは、外部ネットワーク100と、外部ネットワーク100に接続する複数のルータやLAN−SW等のIPネットワーク装置200a、200b、200cと、IPネットワーク装置200a、200b、200cにそれぞれ接続する端末400a1、400a2、400b1、400c1、400c2と、不正侵入検知機器500と、ネットワーク装置200a、200b、200cと端末400a1、400a2、400b1、400c1、400c2との間の伝送路600a、600b、600cとから構成される。
以下、特に区別する必要がない場合は、それぞれ、IPネットワーク装置200、端末400、伝送路600で代表する。また、IPネットワーク装置200、端末400、不正侵入検知機器500の台数は、問わない。
本実施形態のIPネットワーク装置200の動作の概要は以下の通りである。IPネットワーク装置200aは、自装置の配下に端末400a1が接続された場合若しくは明示的に収容する端末400a1を定義した場合、隣接するIPネットワーク装置200c、200bに自装置の配下のIPサブネットワーク・アドレスに関する経路情報を、BGP(Border Gateway Protocol)のUPDATEメッセージを送信することにより広告する。その際、自装置配下で正式な加入者として認証した端末400a1のホストアドレス情報(IPアドレス)[192.168.0.250]、および、送信元IPアドレスを[192.168.0.250]と詐称したIPパケットを受信した場合の処理方法を経路情報に付加して送信する(1a)。
経路情報を受信したIPネットワーク装置200cは、隣接する他のIPネットワーク装置200bから、送信元IPアドレス192.168.0.250のIPパケットを、IPネットワーク装置200bからのIPパケットを受け取るポートとして登録してあるI/F=Bを介して受信した場合は(1b)、送信元アドレス詐称疑惑のIPパケットとして判定し、IPネットワーク装置200aから受信した経路情報の付加情報に記述されている処理方法に従って当該IPパケットを処理する(1c)。
次に、上記制御を実現する本実施形態のIPネットワーク装置200について説明する。図2は、本実施形態のIPネットワーク装置200の機能構成図である。
本図に示すように、本実施形態のIPネットワーク装置200は、インタフェースモジュール部201Aとインタフェースモジュール部201Bと、IPアドレス抽出部202と、送信元IPアドレス詐称監視処理部203と、認証情報記憶部204と、ルーティング処理部205と、フォワーディングテーブル格納部206と、ルーティングテーブル格納部207と、構成定義処理部208と、を備える。なお、インタフェースモジュール部の数はこれに限られない。また、特に区別する必要がない場合は、インタフェースモジュール部201Aとインタフェースモジュール部201Bとをインタフェースモジュール部201で代表する。
インタフェースモジュール部201は、IPネットワーク装置200と外部ネットワーク100または伝送路600とのインタフェースである。
IPアドレス抽出部202は、インタフェースモジュール部201を介して受け取ったIPパケットから送信元IPアドレスおよび宛先IPアドレスを抽出する。抽出したIPアドレスのうち、送信元IPアドレスは、送信元IPアドレス詐称監視処理部203に受け渡す。このとき、このIPパケットを受信したインタフェースモジュール部201を特定する情報もともに受け渡す。宛先IPアドレスは、ルーティング処理部205、フォワーディングテーブル格納部206に受け渡す。
送信元IPアドレス詐称監視処理部203は、IPアドレス抽出部202から受け取った送信元IPアドレスが詐称されたものであるか否かを判別し、IPネットワーク装置200が受信したIPパケットの処理を決定する。判別は、後述する認証情報記憶部204に登録されている情報に基づいて行う。詳細は後述する。
ルーティング処理部205は、送信元IPアドレス詐称処理部203の決定に従って、受信したIPパケットをネクストホップに転送する等の処理を行う。ネクストホップは、ルーティングテーブル格納部207またはフォワーディングテーブル格納部206に格納されている、ルーティングテーブルまたはフォワーディングテーブルを参照して行う。
ルーティングテーブル格納部207およびフォワーディングテーブル格納部206は、それぞれ、従来のIPネットワーク装置が保持するルーティングテーブルとフォワーディングテーブルとを格納する。
構成定義処理部208は、自装置配下の端末400の情報を収集し、構成定義情報を更新するとともに、UPDATEメッセージを生成し、自装置配下の端末400のIPアドレス(以下、認証IPアドレスと呼ぶ。)と、そのIPアドレスが詐称された疑惑がある場合の処理方法(以下、詐称時処理と呼ぶ。)と、を隣接するIPネットワーク装置200へ送信する。また、隣接するIPネットワーク装置200からUPDATEメッセージを受信すると、受信したインタフェースと、UPDATEメッセージに含まれる認証IPアドレスと詐称時処理とを認証情報記憶部204に登録する。
なお、本実施形態においては、構成定義処理部208は、配下の端末400のIPアドレスを、管理者などから登録を受け付けることにより取得する。これは、自動的に収集するよう構成してもよい。また、詐称時処理は、管理者などから登録を受け付けることにより取得する。
認証情報記憶部204には、受信したIPパケットの正当性を認証するための情報が格納される認証IPアドレステーブル2040を備える。認証IPアドレステーブル2040は、上述の構成定義処理部208により生成される。図3は、本実施形態の認証IPアドレステーブル2040の一例である。
本図に示すように、本実施形態の認証IPアドレステーブル2040は、広告される経路情報BGPのUPDATEメッセージのNLRI(Network Layer Reachability Information)フィールドに記載されているIPサブネットワーク・アドレスの情報)であるSource Network7aと、UPDATEメッセージを受信したインタフェースであるIngress I/F7bと、認証IPアドレス7cと、詐称時処理7dとが登録される。
以上のIPネットワーク装置200は、例えば、CPU、ROM、フラッシュメモリ、RAM等から構成され、CPUがROMに格納されたプログラムをRAM上に展開して実行することにより、上記各機能を実現する。また、認証IPアドレステーブル2040、ルーティングテーブル、フォワーディングテーブルは、RAM上に格納される。
次に、構成定義処理部208が、この認証IPアドレスと詐称時処理とを送信する手法について説明する。
本実施形態のIPネットワークシステムが採用しているBGPは、インターネット上で異なるサービスプロバイダ間の相互接続時にお互いの経路情報をやり取りするために使われる経路制御プロトコルである。このBGPでは、隣接するIPネットワーク装置200に経路情報を広告する際にUPDATEメッセージが用いられる。このUPDATEメッセージにはPath Attributeと呼ばれるフィールドを用いて付加情報を添付することができる。本実施形態では、このPath Attributeフィールドを用いて、認証IPアドレスおよび詐称時処理を隣接するIPネットワーク装置200へ送信する。
まず、Path Attributeフィールドのフォーマットについて説明する。図4は、一般的なPath Attributeフィールドのフォーマットを説明するための図である。
本図に示すように、Path Attributeフィールドは、Path Attribute Type4aと、Path Attribute Length4dと、複数のPath Attribute Value4eとを備える。
Path Attribute Type4aは、Attribute Flags4bと、Attribute Type Code4cとを備える。Attribute Flags4bの各ビットは、当該Path Attributeの属性(Well KnownかOptional)および他のIPネットワーク装置200との間での伝達性(必ず転送を行う、必要であれば転送を行う等)を示す情報である。Attribute Type Code4cは当該Path Attributeの種類を明示する情報である。
本実施形態では、このPath Attributeフィールドにおいて、新たなAttribute Type Code4cとPath Attribute Value4eとを定義し、認証IPアドレスおよび詐称時処理との通知に用いる。
次に、本実施形態において、構成定義処理部208が、認証IPアドレスを隣接するIPネットワーク装置200へ通知する際に用いるPath Attributeフィールドについて説明する。本実施形態では、認証IPアドレスを通知するためのこのPath Attributeを、認証Attributeと呼ぶ。
図5は、本実施形態の認証Attributeフィールドを説明するための図である。
認証Attributeでは、Attribute Flags4bのビット0に『1=Optional』(5a)、ビット1に『1=Transitive』(5b)、ビット2に『0=Partial』(5c)、ビット3に『0=Attribute Lengthが1オクテット』(5d)を記述する。そして、Attribute Type Code4cとして新たなCode=128を割り当てる(5e)。
すなわち、構成定義処理部208は、認証Attributeを生成する場合、Attribute Type Code4cに128と記述する。一方、Attribute Type Code4cに128と記述されたPath Attributeを受け取ると、それを認証Attirributeと判別する。
Path Attribute Length4dにIPホストアドレス(認証IPアドレス)格納に必要な4オクテット(32ビット)を記述し(5f)、Path Attribute Value4eに認証IPアドレスを記述する(5g)。
次に、構成定義処理部208が、詐称時処理を隣接するIPネットワーク装置200へ通知する際に用いるPath Attributeフィールドについて説明する。本実施形態では、詐称時処理を通知するためのPath Attributeを、制御Attributeと呼ぶ。
図6は、本実施形態の制御Attributeフィールドを説明するための図である。
制御Attributeでは、Attribute Flagsのビット0に『1=Optional』(6a)、ビット1に『1=Transitive』(6b)、ビット2に『0=Partial』(6c)、ビット3に『0=Attribute Lengthが1オクテット』(6d)を記述する。そして、Attribute Type Codeとして新たなCode=192を割り当てる(6e)。
すなわち、構成定義処理部208は、制御Attributeを生成する場合、Attribute Type Codeとして192を記述する。一方、ttribute Type Codeに192と記述されたPath Attributeを受け取ると、それを制御Attirributeと判別する。
Path Attribute Length4dに詐称時処理の処理方法を示す制御パターンを格納するために必要な1オクテット(8ビット)を記述し(6f)、Path Attribute Valueに制御パターンを記述する(6g、6h、6i)。
記述される制御パターンには、IDS(Intrusion Detection System)などの不正侵入検知装置500に転送する「To IDS」、廃棄する「Drop」、そのまま送信する「Forward」がある。本実施形態では、それぞれ、例えば、「To IDS」をコード0000、「Drop」をコード1111、「Forward」をコード1000など、それぞれの処理について予め定めたコードを記述する。
なお、不正進入検知装置500では、受け取ったIPパケットを解析し、解析結果に応じて特定のポートを遮断するなどの対処を行うことができる。
以上の認証Attributeおよび制御Attributeを用いて、構成定義処理部208は、自装置の配下に新たに端末400が接続された場合、そのIPアドレス(認証IPアドレス)と詐称時処理とを隣接するIPネットワーク装置200へUPDATEメッセージにより広告する。そして、隣接するIPネットワーク装置200から認証IPアドレスと詐称時処理とを受信すると、認証IPアドレステーブル2040に登録する。図7は、構成定義処理部208が認証情報の広告および登録を行い認証IPアドレステーブル2040を生成する処理である認証情報生成処理の処理シーケンスである。ここでは、IPネットワーク装置200aからIPネットワーク装置200cにUPDATEメッセージを送る場合を例にあげて説明する。なお、以下において、IPネットワーク装置200aの構成定義処理部を構成定義処理部208a、IPネットワーク装置200cの構成定義処理部を構成定義処理部208cと呼ぶ。
本図に示すように、構成定義処理部208aは、新たに端末400が自装置の配下に接続された場合、管理者などから新たに端末400のIPアドレス(認証IPアドレス)および詐称時処理の入力を受け付けると(ステップ901)、受け付けた認証IPアドレスと詐称時処理とを用いてそれぞれ認証Attributeと制御Attributeとを生成し、それらを付加したUPDATEメッセージを生成する(ステップ902)。そして、生成したUPDATEメッセージを広告する(ステップ903)。
IPネットワーク装置200cの構成定義処理部208cは、UPDATEメッセージをIPネットワーク装置200aから受信する。
構成定義処理部208cは、UPDATEメッセージのNLRIフィールドに記述されているIPサブネットワーク・アドレス情報を、認証IPアドレステーブル2040のSource Network7aとして、UPDATEメッセージを受信したインタフェースをIngress I/F7bとして登録する(ステップ904)。
そして、構成定義処理部208cは、UPDATEメッセージに添付されている付加情報(Path Attribute)の種別を、そのAttribute Type Code4cに記述されている情報により判別する。認証Attributeと判別したPath AttributeのPath Attribute Value4eから認証IPアドレス5gを抽出し、制御Attributeと判別したPath AttributeのPath Attribute Value4eから詐称時処理6gを抽出する。そして、抽出した認証IPアドレス5gおよび詐称時処理6を、それぞれ、認証IPアドレステーブル2040の認証IPアドレス7cおよび詐称時処理7dとして登録する(ステップ905)。
以上の手順により、本実施形態の構成情報処理部208は、認証情報記憶部204に認証IPアドレステーブル2040を生成する。
次に、IPネットワーク装置200内で、インタフェースモジュール201を介してIPパケットを受け取った場合の転送処理について説明する。図8は、本実施形態の転送処理の処理フローである。
IPアドレス抽出部202は、インタフェースモジュール部201を介して受信したIPパケットから送信元IPアドレスを抽出し、受信したインタフェースモジュール部201を特定する情報とともに送信元IPアドレス詐称監視処理部203に受け渡す(ステップ801)。
送信元IPアドレス詐称監視処理部203は送信元IPアドレスの正当性を判定する(ステップ802)。ここでは、送信元IPアドレス詐称監視処理部203は、認証情報記憶部204の認証IPアドレステーブル2040を参照し、受信したIPパケットを受け取ったインタフェースが、送信元IPアドレスに合致する認証IPアドレス7cに対応づけて登録されているIngress I/F7bに合致するかを判断する。合致する場合、送信元IPアドレス査証監視処理部203は、正式な加入者からのIPパケットである(正当である)と判定し、IPアドレス抽出部202に通知する。
通知を受けたIPアドレス抽出部202は、受信したIPパケットから宛先IPアドレスを抽出し、フォワーディングテーブル格納部206を参照し、出力インタフェースを検索する(ステップ803)。そしてルーティング処理部205は、IPアドレス抽出部202が検索した出力インタフェースからIPパケットを転送する(ステップ804)。
一方、合致しない場合は、送信元IPアドレス詐称監視処理部203は、詐称疑惑ありと判断し、送信元IPアドレスに合致する認証IPアドレス7cに対応づけて登録されている詐称時処理7dとともに、その旨をIPアドレス抽出部202に通知し、通知を受けたIPアドレス抽出部202は、ルーティング処理部205に制御方法を通知する(ステップ805)。ルーティング処理部205は、受け取った制御方法に従って受信したIPパケットを処理する(ステップ806)。
次に、図1のネットワークを用いて、本実施形態のIPネットワークシステム内でのIPパケットの送受信等の処理の様子を説明する。図1のネットワークでは、IPネットワーク装置200aの配下に認証IPアドレス〔192.168.0.250〕を有する端末400a1が接続され、IPネットワーク装置200bの配下には、IPアドレス〔192.168.1.250〕端末400b1が接続され、IPネットワーク装置200cの配下には、IPアドレス〔192.168.2.250〕を有する端末400c1が接続される。
図9は、本実施形態のIPネットワークシステムでの処理シーケンスである。ここでは、IPネットワーク装置200cにおける処理を代表して説明する。IPネットワーク装置200cの認証IPアドレステーブル2040に、端末400a1の認証IPアドレスが登録されているものとする。また、IPネットワーク装置200cにおいて、IPネットワーク装置200aからのIPパケットはインタフェースモジュール部201Aで受信し、IPネットワーク装置200bからのIPパケットはインタフェースモジュール部201Bで受信するものとする。
IPネットワーク装置200aの配下の端末400a1が、送信元IPアドレスを192.168.0.250、宛先IPアドレスを192.168.2.250としたIPパケットAを送出すると(ステップ311、図1の1a)、IPネットワーク装置200cは、IPネットワーク装置200aを介してインタフェースモジュール部201AからIPパケットAを受信する。
IPネットワーク装置200cは、送信元の正当性を図8のステップ802の方法で判別する(ステップ312)。ここでは、正当と判別され、受信したIPパケットを宛先のアドレスを有する端末400c1に転送する(ステップ313、図1の1c)。
一方、IPネットワーク装置200bの配下の端末400b1が送信元IPアドレスを192.168.0.250と詐称したIPパケットBを送出すると(ステップ321、図1の1b)、IPネットワーク装置200cは、IPネットワーク装置200bを介してインタフェースモジュール部201BからIPパケットBを受信する。
IPネットワーク装置200cは、送信元の正当性を図8のステップ802の方法で判別する(ステップ322)。ここでは、詐称疑惑ありと判別され、IPパケットBに対し、送信元IPアドレスとして詐称されたIPアドレス192.168.0.250に対応づけて認証IPアドレステーブルに登録されている詐称時処理7dの処理を行う(ステップ323)。
次に、本実施形態のIPネットワーク装置200は、経路情報としてデフォルト・ルートを保持している場合であっても、送信元IPアドレス詐称トラヒックを適切に遮断可能な例を説明する。
ここでは、IPネットワーク装置200の配下の端末400が、正規のIPアドレスとして〔192.168.0.250/0〕を与えられているものとする。また、IPネットワーク装置200は、隣接するIPネットワーク装置200に、デフォルト・ルート〔0.0.0.0/0〕を広告するものとする。
先に、従来技術での制御を説明する。図10は、従来のIPネットワーク装置1200による制御を説明するための図である。従来のIPネットワーク装置を、それぞれ、IPネットワーク装置1200a、IPネットワーク装置1200cとする。
端末400が配下に接続されると、IPネットワーク装置1200aは、隣接するIPネットワーク装置1200cに、UPDATEメッセージを用いて経路を広告する。ここでは、経路情報としてデフォルト・ルート〔0.0.0.0/0〕、ネクストホップ(Next Hop)としてCを広告する(1001)。
デフォルト・ルートの広告をインタフェースモジュール部Aを介して受信したIPネットワーク装置1200cでは、ルーティングテーブルのDesitinationにデフォルト・ルートを、出力I/Fに、受信したインタフェースであるインタフェースAを登録する(1002)。
ここで、端末400がIPアドレスを、〔192.168.1.250/0〕として詐称してIPパケットを送出した場合、IPネットワーク装置1200cでは、送信元IPアドレスとして、〔192.168.1.250/0〕が抽出され、ルーティングテーブルに本IPアドレスが存在するか否か判断される。ここでは、デフォルト・ルートが登録されているため、存在するものと判断されることとなる。
このように、従来技術のIPネットワーク装置1200cでは、送信元IPアドレス詐称トラヒックであっても、正当なIPパケットとして処理される。
次に、本実施形態のIPネットワーク装置200の場合の例を説明する。図11は、本実施形態IPネットワーク装置200による制御を説明するための図である。
端末400が配下に接続されると、本実施形態のIPネットワーク装置200は、隣接するIPネットワーク装置200cに、UPDATEメッセージおよびその付加情報を用いて、経路情報(デフォルト・ルート)、ネクストホップ(C)、端末400aに割り当てられた正規のIPアドレス、および、当該IPアドレスが詐称された場合の処理(不図示)を通知する(1111)。
以上の情報をインタフェースモジュール部201Bを介して受信したIPネットワーク装置200cは、認証IPアドレステーブルの、Source Network7aに、デフォルト・ルートを、Ingress I/F7bに、受信したインタフェースモジュール部201Bを特定する情報であるBを、認証IPアドレス7cに、受信した端末400の正規のIPアドレスである〔192.168.0.250/0〕を、詐称時処理7dに受信した詐称時処理(不図示)を、それぞれ登録する(1112)。
ここで、端末400がIPアドレスを、〔192.168.1.250/0〕として詐称してIPパケットを送出した場合、インタフェースモジュール部201Bを介して当該IPパケットを受信したIPネットワーク装置200cは、送信元IPアドレスである〔192.168.1.250/0〕およびインタフェースモジュール部201Bの組み合わせのデータが、認証IPアドレステーブル2040の認証IPアドレス7cおよびIngress I/F7bに存在するか否かを判別する。ここでは、存在しないため、受信したIPパケットを、送信元IPアドレス詐称トラヒックと判断する。そして、IPネットワーク装置200cは、詐称されたIPアドレス〔192.168.1.250/0〕に対応づけて登録されている詐称時処理7dを行う。
以上説明したように、本実施形態のIPネットワーク装置200による送信元IPアドレス詐称トラヒックの制御技術によれば、従来のイングレスフィルタリングでは判別できなかった送信元IPアドレスを詐称している疑惑のあるパケット(送信元IPアドレス詐称トラヒック)まで判別することができる。さらに、判別した送信元IPアドレス詐称トラヒックに対し、予め認証情報記憶部204に登録されている処理(詐称時処理)を行うことができる。そして、この詐称時処理は、管理者によって所望の処理を設定することができる。従って、送信元IPアドレス詐称トラヒックに対し、柔軟な制御が可能となる。
このように本実施形態では、廃棄だけでなく、不正進入検知装置に送信元IPアドレス詐称疑惑パケットを転送するなどの処理ができるため、送信元IPアドレス詐称疑惑パケットを解析し状況に応じた対処を行うことも可能となる。従って、IPネットワーク機器の効率的な転送機能を維持しつつ、送信元IPアドレス詐称疑惑パケットによるDos攻撃、DDoS攻撃を効果的に防御することができる。
また、インターネット上で一般に用いられている既存のBGPに則り、認証IPアドレスおよび詐称時処理を広告する構成をとっているため、多種多様のIPネットワーク間で、本実施形態の送信元IPアドレス詐称トラヒック制御技術を、簡易な構成で実現することができる。
本実施形態のIPネットワークシステムのシステム構成図である。 本実施形態のIPネットワーク装置の機能構成図である。 本実施形態の認証IPアドレステーブル2040一例を示す図である。 Path Attributeフィールドのフォーマットを説明するための図である。 本実施形態の認証Attributeフィールドを説明するための図である。 本実施形態の制御Attributeフィールドを説明するための図である。 本実施形態の認証情報生成処理の処理シーケンスである。 本実施形態の転送処理の処理フローである。 本実施形態のIPネットワークシステムでの処理シーケンスである。 従来のIPネットワーク装置による制御を説明するための図である。 本実施形態のIPネットワーク装置による制御を説明するための図である。
符号の説明
100:外部ネットワーク、200a:IPネットワーク装置、200b:IPネットワーク装置、200c:IPネットワーク装置、400a1:端末、400a2:端末、400b1:端末、400c1:端末、400c2:端末、500:不正侵入検知装置、600a:伝送路、600b:伝送路、600c:伝送路、200:IPネットワーク装置、201A:インタフェースモジュール部、201B:インタフェースモジュール部、202:IPアドレス抽出部、203:送信元IP詐称監視処理部、204:認証情報記憶部、205:ルーティング処理部、206:フォワーディングテーブル格納部、207:ルーティングテーブル格納部、208:構成定義処理部

Claims (7)

  1. 複数の端末を伝送路を介して収容し、予め保持するルーティング情報に従って、受信したIPパケットを転送するIPネットワーク装置であって、
    隣接する他のIPネットワーク装置毎に設けられ、隣接する他のIPネットワーク装置からIPパケットをそれぞれ受信するインタフェースと、
    前記インタフェースで受信したIPパケットの送信元IPアドレスを抽出するIPアドレス抽出手段と、
    前記隣接する他のIPネットワーク装置が収容する端末のIPアドレスと、当該他のIPネットワーク装置からのIPパケットを受信する前記インタフェースを特定する情報と、当該IPアドレスが送信元IPアドレスとして詐称された場合の処理である詐称時処理とを対応づけて保持する認証情報記憶手段と、
    前記IPパケットを受信したインタフェースと、前記IPアドレス抽出手段が抽出した当該IPパケットの送信元IPアドレスとが前記認証情報記憶手段に対応づけて保持されている場合、正当なIPパケットと判別する送信元IPアドレス詐称監視処理手段と、
    前記送信元IPアドレス詐称監視処理手段において正当なIPパケットと判別された場合、ルーティング処理を行い、正当なIPパケットと判別されなかった場合、前記IPアドレス抽出手段が抽出した送信元IPアドレスに対応づけて前記認証情報記憶手段に保持される前記詐称時処理を行うルーティング処理手段と、を備えること
    を特徴とするIPネットワーク装置。
  2. 請求項1記載のIPネットワーク装置であって、
    自身が収容する端末のIPアドレスと、当該IPアドレスが詐称された場合の前記詐称時処理をメッセージの付加情報として生成し、隣接する他のIPネットワーク装置に送信するとともに、隣接する他のIPネットワーク装置から前記付加情報を受け取ると、受信したインタフェースに対応づけて、前記付加情報に含まれるIPアドレスと詐称時処理とを前記認証情報記憶部に保持する構成定義処理手段をさらに備えること
    を特徴とするIPネットワーク装置。
  3. 請求項2記載のIPネットワーク装置であって、
    前記付加情報は、UPDATEメッセージのPath Attributeフィールドを用い、前記IPアドレスおよび前記詐称時処理それぞれについてについてそれぞれ生成すること
    を特徴とするIPネットワーク装置。
  4. 請求項1から3いずれか1項記載のIPネットワーク装置であって、
    前記詐称時処理には、当該IPパケットの廃棄、当該IPパケットの転送、当該IPパケットを解析する、の各処理を含むこと
    を特徴とするIPネットワーク装置。
  5. 複数の端末を伝送路を介して収容し、予め保持するルーティング情報に従って、受信したIPパケットを転送するIPネットワーク装置を複数有するIPネットワークシステムであって、
    前記IPネットワーク装置それぞれは、
    隣接する他の前記IPネットワーク装置毎に設けられ、隣接する他のIPネットワーク装置からIPパケットをそれぞれ受信するインタフェースと、
    前記インタフェースで受信したIPパケットの送信元IPアドレスを抽出するIPアドレス抽出手段と、
    前記隣接する他のIPネットワーク装置が収容する端末のIPアドレスと、当該他のIPネットワーク装置からのIPパケットを受信する前記インタフェースを特定する情報と、当該IPアドレスが詐称された場合の処理である詐称時処理とを対応づけて保持する認証情報記憶手段と、
    前記IPパケットを受信したインタフェースと、前記IPアドレス抽出手段が抽出した当該IPパケットの送信元IPアドレスとが前記認証情報記憶手段に対応づけて保持されている場合、正当なIPパケットと判別する送信元IPアドレス詐称監視処理手段と、
    前記送信元IPアドレス詐称監視処理手段において正当なIPパケットと判別された場合、ルーティング処理を行い、正当なIPパケットと判別されなかった場合、前記IPアドレス抽出手段が抽出した送信元IPアドレスに対応づけて前記認証情報記憶手段に保持される前記詐称時処理を行うルーティング処理手段と、を備えること
    を特徴とするIPネットワークシステム。
  6. 複数の端末を伝送路を介して収容し、予め保持するルーティング情報に従って、受信したIPパケットを転送するIPネットワーク装置による送信元IPアドレス詐称IPパケット制御方法であって、
    隣接する他のIPネットワーク装置毎に予め設定されているインタフェースを介して当該隣接する他のIPネットワーク装置からIPパケットを受信するIPパケット受信ステップと、
    前記受信したIPパケットから送信元IPアドレスを抽出するIPアドレス抽出ステップと、
    前記受信したIPパケットの送信元IPアドレスの正当性を判別する正当性判別ステップと、
    前記正当性判別ステップで送信元IPアドレスが正当と判別されたIPパケットを転送するとともに、正当と判別されなかったIPパケットに対し、前記送信元IPアドレスが詐称された場合に行う処理として予め定めた処理を行う転送ステップと、を備え、
    前記正当性判別ステップは、
    予め保持する認証情報に、前記IPパケットを受信したインタフェースと、前記抽出した送信元IPアドレスとが、対応づけて登録されている場合、前記受信したIPパケットの送信元IPアドレスを正当と判別すること
    を特徴とする送信元IPアドレス詐称IPパケット制御方法。
  7. コンピュータを、
    隣接する他のIPネットワーク装置毎に設けられ、隣接する他のIPネットワーク装置からIPパケットをそれぞれ受信するインタフェースと、
    前記インタフェースで受信したIPパケットの送信元IPアドレスを抽出するIPアドレス抽出手段と、
    前記隣接する他のIPネットワーク装置が収容する端末のIPアドレスと、当該他のIPネットワーク装置からのIPパケットを受信する前記インタフェースを特定する情報と、当該IPアドレスが送信元IPアドレスとして詐称された場合の処理である詐称時処理とを対応づけて保持する認証情報記憶手段と、
    前記IPパケットを受信したインタフェースと、前記IPアドレス抽出手段が抽出した当該IPパケットの送信元IPアドレスとが前記認証情報記憶手段に対応づけて保持されている場合、正当なIPパケットと判別する送信元IPアドレス詐称監視処理手段と、
    前記送信元IPアドレス詐称監視処理手段において正当なIPパケットと判別された場合、ルーティング処理を行い、正当なIPパケットと判別されなかった場合、前記IPアドレス抽出手段が抽出した送信元IPアドレスに対応づけて前記認証情報記憶手段に保持される前記詐称時処理を行うルーティング処理手段と、して機能させるためのプログラム。
JP2006199429A 2006-07-21 2006-07-21 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法 Pending JP2008028720A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2006199429A JP2008028720A (ja) 2006-07-21 2006-07-21 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006199429A JP2008028720A (ja) 2006-07-21 2006-07-21 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法

Publications (1)

Publication Number Publication Date
JP2008028720A true JP2008028720A (ja) 2008-02-07

Family

ID=39118912

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006199429A Pending JP2008028720A (ja) 2006-07-21 2006-07-21 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法

Country Status (1)

Country Link
JP (1) JP2008028720A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011135243A (ja) * 2009-12-24 2011-07-07 Kddi Corp Ipネットワークを介した移動端末のハンドオーバ方法、システム、アクセスゲートウェイ及びプログラム
JP2019033320A (ja) * 2017-08-04 2019-02-28 日本電信電話株式会社 攻撃対処システム及び攻撃対処方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011135243A (ja) * 2009-12-24 2011-07-07 Kddi Corp Ipネットワークを介した移動端末のハンドオーバ方法、システム、アクセスゲートウェイ及びプログラム
JP2019033320A (ja) * 2017-08-04 2019-02-28 日本電信電話株式会社 攻撃対処システム及び攻撃対処方法

Similar Documents

Publication Publication Date Title
CN101030977B (zh) 用于防御非法通信的装置及其网络系统
US8484372B1 (en) Distributed filtering for networks
US7167922B2 (en) Method and apparatus for providing automatic ingress filtering
CN113132342B (zh) 方法、网络装置、隧道入口点装置及存储介质
CN1640090B (zh) 分布式服务拒绝攻击的安全的自动化的响应装置与方法
US7823202B1 (en) Method for detecting internet border gateway protocol prefix hijacking attacks
US7360245B1 (en) Method and system for filtering spoofed packets in a network
US6973040B1 (en) Method of maintaining lists of network characteristics
US10931711B2 (en) System of defending against HTTP DDoS attack based on SDN and method thereof
US20040196843A1 (en) Protection of network infrastructure and secure communication of control information thereto
US8320249B2 (en) Method and system for controlling network access on a per-flow basis
CN107690004B (zh) 地址解析协议报文的处理方法及装置
US20150207729A1 (en) Tying data plane paths to a secure control plane
JP4808573B2 (ja) 悪意あるネットワーク・メッセージのソースを識別するためのシステム、方法、およびプログラム
Yao et al. VASE: Filtering IP spoofing traffic with agility
JPWO2015174100A1 (ja) パケット転送装置、パケット転送システム及びパケット転送方法
JP5178573B2 (ja) 通信システムおよび通信方法
JP2004248185A (ja) ネットワークベース分散型サービス拒否攻撃防御システムおよび通信装置
JP2004164107A (ja) 不正アクセス監視システム
JP2008028720A (ja) 送信元ipアドレス詐称ipパケットを制御可能なipネットワーク装置および送信元ipアドレス詐称ipパケット制御方法
JP4641848B2 (ja) 不正アクセス探索方法及び装置
JP2003298628A (ja) サーバ保護ネットワークシステム、サーバおよびルータ
JP2004096246A (ja) データ伝送方法、データ伝送システム及びデータ伝送装置
CN111431913B (zh) 路由器通告防护机制存在性检测方法及装置
JP3917557B2 (ja) ネットワーク攻撃防止装置、ネットワーク攻撃防止方法、ネットワーク攻撃防止プログラム及びそのプログラムを記録した記録媒体